adv

“La vita personale, privata, dell’individuo o della famiglia costituisce un diritto e in quanto tale va rispettata e tutelata: difendere la propria p.; violare la pdi un attoredi un uomo politico, di una persona.

Il termine si usa soprattutto con riferimento a personaggi noti e che hanno una vita pubblica, ma si adopera anche (in tono serio o scherzoso) in modo più generico: io ci tengo alla mia privacy”.

È questa, sul dizionario Treccani, la definizione di “privacy”, un vocabolo che come tanti arriva da oltremanica, e che anzi rispecchia a pieno, come spesso accade, una prospettiva, un modo di vivere e agire all’interno della società, tipico della cultura da cui proviene, in questo caso quella anglosassone.

Se questa parola viene da lontano, è anche vero che da almeno vent’anni, pure nel nostro paese, l’attenzione a quello che può essere definito il “diritto alla riservatezza della propria vita privata” è diventato un elemento importante, nel quotidiano e anche da un punto di vista normativo.

Inevitabilmente quest’attenzione è coincisa con il boom delle tecnologie 2.0: da quando ogni cittadino compreso nella fascia d’età che va dall’adolescenza alla vecchiaia utilizza internet, è in possesso di una scheda telefonica per cellulare personale o di un bancomat, e soprattutto da quando, tramite gli smartphone, la comunicazione a terzi dei nostri dati personali è diventata un affare quotidiano, si è reso necessario sviluppare delle norme che ne regolamentassero e tutelassero l’utilizzo.

Non sempre, però, la legislazione riesce a essere al passo con i tempi, e certamente non riesce a farlo in maniera omogenea dappertutto. È per questa ragione che l’Unione Europea ha ritenuto opportuno varare una normativa internazionale in materia, il Regolamento generale per la protezione dei dati (Gdpr, 2016/679), che entrerà in vigore a partire dal prossimo mese di maggio.

Da quella data, il Gdpr sostituirà infatti le normative interne attualmente in vigore nei singoli paesi, e nel caso dell’Italia quel Codice della privacy diventato attuativo fin dal 2003. La disciplina in materia dei dati diventerà così uniforme in tutti i paesi.

Lo sviluppo di nuove norme comporta naturalmente una necessità di “aggiornamento”, da tanti punti di vista. Un aggiornamento, da un punto di vista sociale, nel modo di concepire la privacy e l’utilizzo dei dati personali, ma anche un aggiornamento professionale, considerando la nascita oppure la nuova importanza data a determinate figure dalla nuova legislazione europea. Il caso più importante riguarda il cosiddetto DPO, il Responsabile della protezione dati.

Il Dpo è una figura che già esisteva in diversi paesi e nel panorama legislativo europeo

Ma non all’interno del Codice della privacy italiano. Si tratta di un professionista con conoscenze specialistiche della normativa e della prassi in materia di protezione dati, che viene designato dal titolare e dal responsabile del trattamento (gli enti pubblici o le aziende che “ricevono” dagli utenti i propri dati), in tre casi specifici: sempre, quando il trattamento è effettuato da un’autorità o un ente pubblico; quando i trattamenti richiedono il monitoraggio degli interessati su larga scala; quando il trattamento riguarda dati sensibili o relativi a condanne penali e reati.

Nella pratica, una casistica e quindi una gamma di situazioni molto ampia. Il Dpo può essere selezionato tra i dipendenti ma può anche essere un libero professionista, esterno e autonomo, ingaggiato in base a un contratto di servizi e il cui lavoro deve essere in ogni caso assolutamente indipendente da qualsiasi ingerenza da parte dell’azienda o dell’ente.

È chiaro che, considerando l’ampia gamma di compiti che il Dpo andrà a svolgere, la sua figura professionale è una figura qualificata, che necessità di preparazione tecnica e costante aggiornamento. Uno dei nuovi e più interessanti compiti è lo studio e l’elaborazione dei pareri in merito alla Valutazione di impatto dei dati, quello che in inglese chiamiamo Privacy impact assessment (PIA).

La Valutazione di impatto dei dati è una valutazione preliminare che permette di considerare appunto l’impatto potenziale dell’utilizzo dei dati personali e di ogni aspetto rilevante dal punto di vista della privacy. In particolar modo, quello che si andrà a valutare è il rischio insito nell’utilizzo, da parte del titolare, dei dati personali dei beneficiari dei servizi dell’ente o dei clienti dell’azienda.

L’obiettivo del lavoro del Dpo è in sostanza, in questo caso, far si che le nuove tecnologie delle aziende o degli enti pubblici si mantengano “pulite” (sempre traducendo dall’inglese), ovvero capaci di mantenere al sicuro i dati degli utenti; e per farlo è proprio il Dpo a dover mettere l’ente o l’azienda al corrente dei rischi potenziali o degli errori commessi.

La necessità di elaborare una valutazione di impatto si stabilisce sulla base di alcuni rischi specifici elencati nell’articolo 35 del Regolamento. La valutazione deve in ogni caso contenere: una descrizione sistematica dei trattamenti previsti e delle sue finalità, compreso, dove applicabile, l’interesse nell’utilizzo da parte del titolare del trattamento; una valutazione degli eventuali rischi per i diritti e la libertà degli interessati; le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati, dimostrando la conformità al nuovo Regolamento europeo, tenuto conto dei diritti e degli interessi legittimi di tutte le parti.

È palese quindi come la Valutazione di impatto, indipendentemente dalla sua obbligatorietà, porti dietro di sé degli effetti importanti, dal momento che permette di identificare e gestire i rischi.

Prevedibilmente, da qui a pochi anni, sarà quindi utilizzata trasversalmente e universalmente, anche perché una valutazione ben costruita permetterà di prevenire la possibilità che determinati problemi vengano scoperti in uno stadio avanzato del trattamento, ponendo quindi il titolare davanti la necessità di porre rimedio con dei costi molto alti (null’altro, insomma, che la vecchia storia sul prevenire e sul curare); senza contare il fatto che lo sviluppo di un corretto PIA diventerà un elemento fondamentale per rafforzare il livello di affidabilità legato all’immagine dell’azienda.